Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ID
PROCESO
001
Oficinas
002
003
004
Sistema de Informacin
005
006
007
008
Gestin Documental
009
Gestin de Comunicaciones
010
011
Direccionamiento Estratgico
012
013
014
015
TIPO DE RIESGO
Informacin de Gestin, Planeacin, operacin y seguimiento de los servicios TIC, gestin de mesa de R14. Destruccin, prdida, extravo, robo, servicio, supervisin de los contratos dao o alteracin de informacin en 646 y 649 y la gestin a la mejora continua de todos los servicios TIC del medio fsico o lgico. Complejo Tecnolgico para la Gestin Agroempresarial
PROCESO GESTION D
CAUSA (Vulnerabilidad)
Ataques contra el sistema (negacin del Ausencia de sistemas y/o procedimientos servicio, manipulacin de software, de monitoreo de los recursos de manipulacin de equipo informtico procesamiento de informacin. entre otros)
SERVICIO NACIONAL DE APRENDIZAJE SENA SISTEMA INTEGRADO DE GESTIN PROCESO GESTION DE TECNOLOGIAS DE INFORMACION
ATRIBUTO AFECTADO
Probable
Crtico
Casi.Seguro
Crtico
Probable
Crtico
La Informacin del complejotecnolgico para la gestin agroempresarial esta expuesta a ataques informticos que la pueden alterar, destruir y borrar causando traumas al normal desempeo de los usuarios
Integridad
Probable
Moderado
10
Probable
Moderado
Casi.Seguro
Moderado
Probable
Crtico
Probable
Crtico
Probable
Moderado
Raro
Crtico
Casi.Seguro
Crtico
Casi.Seguro
Crtico
Probable
Moderado
Raro
Crtico
Probable
Moderado
LA INFORMACION
Reputacional Regulatorio/Legal Operacional
ICACIN DEL RIESGO EVALUACIN RIESGO INHERENTE CONTROL EXISTENTE ANEXO A NTC-ISO 27001
40
60
40
10
10
10
20
20
30
40
40
20
20
60
60
20
20
20
TIPO
NATURALEZA
OFICIALIDAD
CUBRIMIENTO
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
Probable
1 8/9/2013 F001-P000-GTI
NUEVA CALIFICACIN DEL RIESGO IMPACTO EVALUACIN RIESGO RESIDUAL
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
Crtico
40
PLAN DE ACCION
RIESGOS QUE REQUIEREN PLAN DE ACCION
ID RIESGO
PROCESO
TIPO DE ACTIVO
001 002
Oficinas 0
003
004
Sistema de Informacin
005
006
007
008
Gestin Documental
009
Gestin de Comunicaciones
010
Direccionamiento Estratgico Relacionamiento Empresarial y Gestin del Cliente Gestin de Evaluacin y Control Gestin de Infraestructura y Logistica Gestin de Contratacin y Convenios #N/A #N/A #N/A
019
#N/A
#N/A
020
#N/A
#N/A
RIESGO
0 0
0 0
Informacin de Gestin, Planeacin, operacin y seguimiento de los servicios TIC, gestin de mesa de servicio, supervisin de los 0
R14. Destruccin, prdida, extravo, robo, dao o alteracin de informacin en medio fsico o lgico.
#N/A
#N/A
#N/A
#N/A
CAUSA
C o l u m n
0 0
0 0
La Informacin del complejotecnolgico para la gestin agroempresarial esta expuesta a ataques informticos que la pueden alterar, destruir y borrar causando traumas al normal desempeo de los usuarios 0
#N/A
#N/A
#N/A
#N/A
OPCIONES DE MANEJO
Reducir Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir
Reducir Reducir
RESPONSABLE DE LA ACCIN
COSTO $
OBSERVACIONES
MAPA DE RIESGOS
PROCESO
TIPO DE ACTIVO
ID RIESGO
Oficinas
001
002
003
Sistema de Informacin
Informacin de Gestin, Planeacin, operacin y seguimiento de los servicios TIC, gestin de mesa de servicio, supervisin de los contratos 646 y 649 y la gestin a la mejora continua de todos los servicios TIC del Complejo Tecnolgico para la Gestin Agroempresarial
004
005
006
007
Gestin Documental
008
Gestin de Comunicaciones
009
010
Direccionamiento Estratgico
011
012
013
014
015
#N/A
#N/A
#N/A
016
#N/A
#N/A
#N/A
017
#N/A
#N/A
#N/A
018
#N/A
#N/A
#N/A
019
#N/A
#N/A
#N/A
020
TIPO DE RIESGO
R14. Destruccin, prdida, extravo, robo, dao o alteracin de informacin en medio fsico o lgico.
La Informacin del complejotecnolgico para la gestin agroempresarial esta expuesta a ataques informticos que la pueden alterar, destruir y borrar causando traumas al normal desempeo de los usuarios
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
#N/A
Probable
Moderado
20
Probable
Crtico
Raro
Crtico
20
Probable
Crtico
Probable
Moderado
20
Probable
Crtico
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
OPCIONES DE MANEJO
40
Reducir
40
Reducir
40
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
Reducir
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
#REF!
TIEMPO IMPLEMENTACIN PLAN DE TRATAMIENTO (Acciones) FECHA INICIO (aaaa/mm/dd) FECHA FINAL (aaaa/mm/dd)
RESPONSABLE DE LA ACCIN
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
1/0/1900
OBSERVACIONES
ACTIVOS
GRUPO DE ACTIVO
INFORMACIN Bases de Datos
Herramienta Ofimtica HARDWARE Servidores y Equipos de Computo Equipos de Comunicacin Medios de Almacenamiento Removible Otros Equipos SERVICIOS Servicios de Outsourcing Servicios Ofrecidos por la Entidad Otros Servicios PERSONAS (Rol) Funcionarios de planta Contratistas Aprendices Mesas sectoriales Partes Interesadas (Empresarios, Entidades Pblicas) Proveedores INFRAESTRUCTURA Ambiente de Aprendizaje Centro de Computo / Centro de Datos Oficinas Archivo INTANGIBLE Imagen y reputacin
Ideas / Conocimiento
CATALOGO DE RIESGOS
TIPO DE RIESGOS
R1. Actos vandlicos y/o terrorismo R2. Hurto , fraude o sabotaje de equipos, medios, informacin o documentos. R3. Accin Industrial / Espionaje (infiltracin canales de comunicacin, servicios de informacin,
servicios informticos)
R4. Fuga, revelacin o divulgacin de informacin sensible y/o confidencial R5. Retraso o interrupcin de los sistemas de informacin y/o la informacin R6. Problemas, fallas o no disponibilidad de los servicios esenciales (internet, tlefonos, aire
acondicionado, energa, agua, etc)
R7. Prdida, alteracin, acceso no autorizado, divulgacin no autorizada y/o fuga de informacin
confidencial/sensible a travs del acceso a.
R8. Interrupcin total o parcial de los procesos del negocio por falla/dao/degradacin de los
equipos informticos, equipos de comunicaciones (dispositivos de red, planta telefonica, servidores, UPS, entre otros), debido a
R9. Incumplimiento contractual y/o sanciones. R10. Prdida de informacin debido a errores en la ejecucin del procedimiento de backup, fallas
en el software de backup.
R11. Prdida, alteracin, acceso no autorizado, divulgacin no autorizada y/o fuga de informacin
confidencial/sensible procesada y/o almacenada en
R12. Degradacin del rendimiento de las aplicaciones o la red R13. Sanciones por el uso de software ilegal o no licenciado. R14. Destruccin, prdida, extravo, robo, dao o alteracin de informacin en medio fsico o
lgico.
R16. Prdida, robo, dao, alteracin, divulgacin no autorizada y/o fuga de informacin como
consecuencia del acceso fsico a las oficinas.
HARDWARE/SOFTWARE
Acceso no autorizado (a oficinas, edificio, sala, centro de computo, sistema de informacin, documentacin, informacin, entre otros). Ataque malicioso (explosivos, quimicos, vandalismo,hurto, radiacin electromagnetica, entre otros).
Ataques contra el sistema (negacin del servicio, manipulacin de software, manipulacin de equipo informtico entre otros)
Dao fsico (fuego, agua, humedad, contaminacin qumica, construccin, entre otros) Destruccin de equipos o medios
Falla en el suministro de energa (perdida suministro de energia,planta elctrica, UPS, banco de baterias)
Fuego, agua, humedad, variaciones de temperatura/voltaje, radioactividad, polvo, gases, oxidacin, campos electromagnticos, entre otros.
INFORMACIN
Abuso de derechos (de usuario, administrador)
Acceso no autorizado (a oficinas, edificio, sala, centro de computo, sistema de informacin, documentacin, informacin, entre otros). Actos fraudulentos (suplantacin, fraude, venta de informacin,soborno, extorsin, falsificacin de derechos, entre otros)
Dao fsico (fuego, agua, humedad, contaminacin qumica, construccin, entre otros)
Divulgacin no autorizada
Hurto o robo (informacin, documentos, medios o equipos) Incumplimiento de leyes o regulaciones (propiedad intelectual, entre otros)
Intrusin o acceso forzado (instalaciones, sistemas de informacin, informacin) Prdida de informacin (contenida en documentacin fsica o digital)
PERSONAL
Abuso de derechos (de usuario, administrador)
Acceso no autorizado (a oficinas, edificio, sala, centro de computo, sistema de informacin, documentacin, informacin, entre otros). Actos fraudulentos (suplantacin, fraude, venta de informacin,soborno, extorsin, falsificacin de derechos, entre otros)
Dficit de personal
Divulgacin no autorizada
Piratera
Proveedor o contratista
INFRAESTRUCTURA
Ataque malicioso (explosivos, quimicos, vandalismo,hurto, radiacin electromagnetica, entre otros).
Dao fsico (ifuego, agua, humedad, contaminacin qumica, construccin, entre otros)
Desastre natural (temblor, terremoto, inundacin, incendio, rayos, contaminacin qumica entre otros)
Fuego, agua, humedad, variaciones de temperatura/voltaje, radioactividad, polvo, gases, oxidacin, campos electromagnticos, entre otros.
Incumplimiento en el mantenimiento
SERVICIOS
Cierre de operacin de un proveedor o contratista crtico para la Entidad
INTANGIBLES
Hurto o robo (informacin, documentos, medios o equipos)
Falla en el suministro de energa (perdida suministro de energia,planta elctrica, UPS, banco de baterias) Incumplimiento de polticas o procedimientos internos
Falla sistema de comunicaciones (Internet, canales, Radio, entre otros). Incumplimiento de leyes o regulaciones (propiedad intelectual, entre otros)
Incumplimiento en el mantenimiento
HARDWARE
Acceso o uso no controlado.
Capacidad inadecuada.
Relojes no sincronizados.
ULNERABILIDADES
SOFTWARE
Acceso o uso no controlado del sistema de informacin (software, aplicativo).
Relojes no sincronizados.
Disposicin/reutilizacin de medios de almacenamiento sin borrado seguro. Ausencia de "terminacin/bloqueo de la sesin" cuando se abandona la estacin de trabajo. Ausencia de sistemas y/o procedimientos de monitoreo de los recursos de procesamiento de informacin. Insuficiente entrenamiento, capacitacin o sensibilizacin.
INFORMACIN
Acceso no controlado a informacin sensible / confidencial.
Ausencia o insuficiencia de contratos, acuerdos de nivel de servicio y/o confidencialidad con empleados o terceros.
PERSONAL (ROL)
Acceso no controlado a informacin sensible / confidencial.
Ausencia o insuficiencia de disposiciones (con respecto a la seguridad) en los contratos con los empleados y/o terceras partes.
Desconocimiento, malinterpretacin o no cumplimiento de las disposiciones legales, contractuales y/o regulatorias aplicables.
INFRAESTRUCTURA FSICA
Ausencia o insuficiencia de controles de acceso a las instalaciones.
Ausencia o insuficiencia de controles de monitoreo de las instalaciones (por ej. deteccin o extincin de incendios, lquidos inflamables, CCTV, entre otros).
Falla en los servicios esenciales (internet, telfonos, aire acondicionado, energa, agua, etc).
Ubicacin geografica de las instalaciones en una zona de alto impacto por eventos externos (desastres naturales, orden pblico, entre otros).
SERVICIOS
Ausencia o insuficiencia de contratos, acuerdos de niveles de servicio y/o confidencialidad.
INTANGIBLES
Ausencia de planes de continuidad.
Dependencia de proveedores.
PROBABILIDAD
NIVEL DESCRIPTOR Escala cualitativa
Casi.Seguro
El evento puede ocurrir o se tiene la suficiente informacin para determinar que existe una alta probabilidad de ocurrencia.
Probable
Existe alguna posibilidad o se tiene la suficiente informacin para determinar que el evento puede ocurrir.
Raro
El evento puede ocurrir slo en circunstancias excepcionales o no existe la suficiente informacin para determinar que pueda ocurrir.
PROBABILIDAD
Escala cuantitativa
Cuando se establece que el nivel de cumplimiento es menor al 30% frente a normas, procedimientos internos, controles seleccionados, mejores prcticas, entre otros. Cuando se tiene un histrico de ocurrencia del evento y este se ha presentado ms de tres (3) veces al ao. Cuando se establece que el nivel de cumplimiento est entre el 30% y el 70% frente a normas, procedimientos internos, controles seleccionados, mejores prcticas, entre otros. Cuando se tiene un histrico de ocurrencia del evento y este se ha presentado entre dos (2) y tres (3) veces al ao. Cuando se establece que el nivel de cumplimiento es mayor al 70% frente a normas, procedimientos internos, controles seleccionados, mejores prcticas, entre otros. Cuando se tiene un histrico de ocurrencia del evento y este no se ha presentado o se ha presentado una (1) vez al ao.
IMP
Col um na1
NIVEL
Tipo de Impacto
FINANCIERO
Mayor a $60.000.001.
Crtico
20
Moderado
10
Insignificante
Hasta $10.000.000. Perdida econmica menor al 1% del presupuesto asignado al proceso / Centro de Formacin.
IMPACTO
REPUTACION
Concepto desfavorable con difusin a nivel nacional. Afecta a un grupo significativo de la comunidad educativa (por ejemplo varias reas, dependencias, los aprendices o funcionarios de toda la Entidad). Divulgacin del evento a travs de mltiples medios de comunicacin (prensa, noticieros, internet) a nivel nacional por ms de tres (3) das.
Concepto desfavorable con difusin dentro del Centro de Formacin, Regional, Direccin General o a nivel local. Afecta a un grupo importante de la comunidad educativa (por ejemplo los aprendices, funcionarios de uno o varios Centros de Formacin / Dependencias) Divulgacin del evento a travs de mltiples medios y noticieros a nivel nacional por un periodo comprendido entre un (1) da y hasta tres (3) das.
Concepto desfavorable con difusin dentro del rea o dependencia. No afecta a la comunidad educativa o afecta a un nmero muy reducido de la comunidad educativa (por ej. rea, dependencia). No hay divulgacin del evento.
PACTO
REGULATORIO Y LEGAL
Demandas econmicas provenientes del incumplimiento de las obligaciones contractuales o actividades de la Entidad.
Acciones por parte del ente de control/regulador que puede incluir procesos administrativos, sanciones a funcionarios y/o intervenciones a la Entidad.
Reclamaciones a la Entidad por parte de proveedores y contratistas por incumplimiento de las clusulas establecidas en los contratos que generen un plan de accin a corto plazo.
Reclamaciones al rea / Centro de Formacin/Regional por parte de proveedores y contratistas por incumplimiento de las clusulas establecidas en los contratos que generen un plan de accin a corto plazo. No hay observaciones u hallazagos por parte del ente de control/regulador.
OPERACIONES
Interrupcin o afectacin de las actividades ocasionando retraso en las labores del rea/proceso por un tiempo un (1) da. Prdida de informacin crtica para el proceso o rea no reconstruible ni recuperable. Afectacin mayor al 10% de usuarios/aprendices/ etc. segn aplique.
Interrupcin o afectacin de las actividades ocasionando retraso en las labores del rea/proceso por un tiempo a una (1) hora y < a un (1) da. Perdida de informacin crtica para el proceso o rea reconstruible o recuperable mnimo en un (1) da. Afectacin al 1% y < al 10% de usuarios/aprendices/ etc. segn aplique
No hay interrupcin o afectacin de las actividades o la interrupcin ocasiona retrasos en las labores del rea / proceso por un tiempo menor a una (1) hora. No hay perdida de informacin crtica para el proceso o rea o es reconstruible/recuperable mnimo en una (1) hora. Afectacin menor al 1 % de usuarios/aprendices/ etc. segn aplique
CRITERIOS
Entre 0 - 85 Entre 86 - 75
N DE LOS CONTROLES
PUNTAJE 5 20 0 5 20 15 0 0 5 10 20 0 5 10 20 0 20 0 0
PROBABILIDAD
VALOR
(15) Zona de Riesgo Moderada Aceptar (Asumir el riesgo)
Casi seguro
3
(10) Zona de Riesgo Baja Aceptar (Asumir el riesgo)
Probable
2
(5) Zona de Riesgo Leve Aceptar (Asumir el riesgo)
Raro
Insignificante 5
IMPACTO
Moderado 10
Crtico 20
IMPACTO
10.1 Responsabilidades y procedimientos de operacin. 10.1 Responsabilidades y procedimientos de operacin. 10.1 Responsabilidades y procedimientos de operacin. 10.1 Responsabilidades y procedimientos de operacin. 10.2 Gestin de la provisin de servicios por terceros. 10.2 Gestin de la provisin de servicios por terceros. 10.2 Gestin de la provisin de servicios por terceros. 10.3 Planificacin y aceptacin del sistema. 10.3 Planificacin y aceptacin del sistema. 10.4 Proteccin contra el cdigo malicioso y descargable. 10.4 Proteccin contra el cdigo malicioso y descargable. 10.5 Copias de seguridad. 10.6 Gestin de la seguridad de las redes. 10.6 Gestin de la seguridad de las redes. 10.7 Manipulacin de los soportes. 10.7 Manipulacin de los soportes. 10.7 Manipulacin de los soportes. 10.7 Manipulacin de los soportes. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.8 Intercambio de informacin. 10.9 Servicios de comercio electrnico. 10.9 Servicios de comercio electrnico. 10.9 Servicios de comercio electrnico. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 10.10 Supervisin. 11. CONTROL DE ACCESO. 11.1 Requisitos de negocio para el control de acceso. 11.2 Gestin de acceso de usuario. 11.2 Gestin de acceso de usuario. 11.2 Gestin de acceso de usuario. 11.2 Gestin de acceso de usuario. 11.3 Responsabilidades de usuario. 11.3 Responsabilidades de usuario. 11.3 Responsabilidades de usuario. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red. 11.4 Control de acceso a la red.
11.4 Control de acceso a la red. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.5 Control de acceso al sistema operativo. 11.6 Control de acceso a las aplicaciones y a la informacin. 11.6 Control de acceso a las aplicaciones y a la informacin. 11.7 Ordenadores porttiles y teletrabajo. 11.7 Ordenadores porttiles y teletrabajo. 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION 12.1 Requisitos de seguridad de los sistemas de informacin. 12.2 Tratamiento correcto de las aplicaciones. 12.2 Tratamiento correcto de las aplicaciones. 12.2 Tratamiento correcto de las aplicaciones. 12.2 Tratamiento correcto de las aplicaciones. 12.3 Controles criptogrficos. 12.3 Controles criptogrficos. 12.4 Seguridad de los archivos de sistema. 12.4 Seguridad de los archivos de sistema. 12.4 Seguridad de los archivos de sistema. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.5 Seguridad en los procesos de desarrollo y soporte. 12.6 Gestin de la vulnerabilidad tcnica. 13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN. 13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin. 13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin. 13.2 Gestin de incidentes y mejoras de seguridad de la informacin. 13.2 Gestin de incidentes y mejoras de seguridad de la informacin. 13.2 Gestin de incidentes y mejoras de seguridad de la informacin. 14. GESTIN DE LA CONTINUIDAD DEL NEGOCIO. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 14.1 Aspectos de seguridad de la informacin en la gestin de la continuidad del negocio. 15. CUMPLIMIENTO. 15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales.
15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales. 15.1 Cumplimiento de los requisitos legales. 15.2 Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico. 15.2 Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico. 15.3 Consideraciones sobre las auditoras de los sistema. de informacin. 15.3 Consideraciones sobre las auditoras de los sistema. de informacin.
CONTROL
5.1.1 Documento de poltica de seguridad de la informacin. 5.1.2 Revisin de la poltica de seguridad de la informacin. 6.1.1 Compromiso de la Direccin con la seguridad de la informacin. 6.1.2 Coordinacin de la seguridad de la informacin. 6.1.3 Asignacin de responsabilidades relativas a la seg. de la informac. 6.1.4 Proceso de autorizacin de recursos para tratamiento de la informacin 6.1.5 Acuerdos de confidencialidad. 6.1.6 Contacto con las autoridades. 6.1.7 Contacto con grupos de especial inters. 6.1.8 Revisin independiente de la seguridad de la informacin. 6.2.1 Identificacin de los riesgos derivados del acceso de terceros. 6.2.2 Tratamiento de la seguridad en la relacin con los clientes. 6.2.3 Tratamiento de la seguridad en contratos con terceros. 7.1.1 Inventario de activos. 7.1.2 Propiedad de los activos. 7.1.3 Uso aceptable de los activos. 7.2.1 Directrices de clasificacin. 7.2.2 Etiquetado y manipulado de la informacin. 8.1.1 Funciones y responsabilidades. 8.1.2 Investigacin de antecedentes. 8.1.3 Trminos y condiciones de contratacin. 8.2.1 Responsabilidades de la Direccin. 8.2.2 Concienciacin, formacin y capacitacin en seg. de la informacin 8.2.3 Proceso disciplinario. 8.3.1 Responsabilidad del cese o cambio. 8.3.2 Devolucin de activos. 8.3.3 Retirada de los derechos de acceso. 9.1.1 Permetro de seguridad fsica. 9.1.2 Controles fsicos de entrada. 9.1.3 Seguridad de oficinas, despachos e instalaciones. 9.1.4 Proteccin contra las amenazas externas y de origen ambiental. 9.1.5 Trabajo en reas seguras. 9.1.6 reas de acceso pblico y de carga y descarga. 9.2.1 Emplazamiento y proteccin de equipos. 9.2.2 Instalaciones de suministro. 9.2.3 Seguridad del cableado. 9.2.4 Mantenimiento de los equipos. 9.2.5 Seguridad de los equipos fuera de las instalaciones. 9.2.6 Reutilizacin o retirada segura de equipos. 9.2.7 Retirada de materiales propiedad de la empresa.
10.1.1 Documentacin de los procedimientos de operacin. 10.1.2 Gestin de cambios. 10.1.3 Segregacin de tareas. 10.1.4 Separacin de los recursos de desarrollo, prueba y operacin. 10.2.1 Provisin de servicios. 10.2.2 Supervisin y revisin de los servicios prestados por terceros. 10.2.3 Gestin del cambio en los servicios prestados por terceros. 10.3.1 Gestin de capacidades. 10.3.2 Aceptacin del sistema. 10.4.1 Controles contra el cdigo malicioso. 10.4.2 Controles contra el cdigo descargado en el cliente. 10.5.1 Copias de seguridad de la informacin. 10.6.1 Controles de red. 10.6.2 Seguridad de los servicios de red. 10.7.1 Gestin de soportes extrables. 10.7.2 Retirada de soportes. 10.7.3 Procedimientos de manipulacin de la informacin. 10.7.4 Seguridad de la documentacin del sistema. 10.8.1 Polticas y procedimientos de intercambio de informacin. 10.8.2 Acuerdos de intercambio. 10.8.3 Soportes fsicos en trnsito. 10.8.4 Mensajera electrnica. 10.8.5 Sistemas de informacin empresariales. 10.9.1 Comercio electrnico. 10.9.2 Transacciones en lnea. 10.9.3 Informacin pblicamente disponible. 10.10.1 Registros de auditora. 10.10.2 Supervisin del uso del sistema. 10.10.3 Proteccin de la informacin de los registros. 10.10.4 Registros de administracin y operacin. 10.10.5 Registro de fallos. 10.10.6 Sincronizacin del reloj. 11.1.1 Poltica de control de acceso. 11.2.1 Registro de usuario. 11.2.2 Gestin de privilegios. 11.2.3 Gestin de contraseas de usuario. 11.2.4 Revisin de los derechos de acceso de usuario. 11.3.1 Uso de contraseas. 11.3.2 Equipo de usuario desatendido. 11.3.3 Poltica de puesto de trabajo despejado y pantalla limpia. 11.4.1 Poltica de uso de los servicios en red. 11.4.2 Autenticacin de usuario para conexiones externas. 11.4.3 Identificacin de los equipos en las redes. 11.4.4 Proteccin de los puertos de diagnstico y configuracin remotos. 11.4.5 Segregacin de las redes. 11.4.6 Control de la conexin a la red.
11.4.7 Control de encaminamiento (routing) de red. 11.5.1 Procedimientos seguros de inicio de sesin. 11.5.2 Identificacin y autenticacin de usuario. 11.5.3 Sistema de gestin de contraseas. 11.5.4 Uso de los recursos del sistema. 11.5.5 Desconexin automtica de sesin. 11.5.6 Limitacin del tiempo de conexin. 11.6.1 Restriccin del acceso a la informacin. 11.6.2 Aislamiento de sistemas sensibles. 11.7.1 Ordenadores porttiles y comunicaciones mviles. 11.7.2 Teletrabajo. 12.1.1 Anlisis y especificacin de los requisitos de seguridad. 12.2.1 Validacin de los datos de entrada. 12.2.2 Control del procesamiento interno. 12.2.3 Integridad de los mensajes. 12.2.4 Validacin de los datos de salida. 12.3.1 Poltica de uso de los controles criptogrficos. 12.3.2 Gestin de claves. 12.4.1 Control del software en explotacin. 12.4.2 Proteccin de los datos de prueba del sistema. 12.4.3 Control de acceso al cdigo fuente de los programas. 12.5.1 Procedimientos de control de cambios. 12.5.2 Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo. 12.5.3 Restricciones a los cambios en los paquetes de software. 12.5.4 Fugas de informacin. 12.5.5 Externalizacin del desarrollo de software. 12.6.1 Control de las vulnerabilidades tcnicas. 13.1.1 Notificacin de los eventos de seguridad de la informacin. 13.1.2 Notificacin de puntos dbiles de seguridad. 13.2.1 Responsabilidades y procedimientos. 13.2.2 Aprendizaje de los incidentes de seguridad de la informacin. 13.2.3 Recopilacin de evidencias. 14.1.1 Inclusin de la seguridad de la informacin en el proceso de gestin de la continuidad del negocio. 14.1.2 Continuidad del negocio y evaluacin de riesgos. 14.1.3 Desarrollo e implantacin de planes de continuidad que incluyan la seguridad de la informacin. 14.1.4 Marco de referencia para la planificacin de la cont. del negocio. 14.1.5 Pruebas, mantenimiento y revaluacin de planes de continuidad.
TEMAS DE INFORMACION
15.1.3 Proteccin de los documentos de la organizacin. 15.1.4 Proteccin de datos y privacidad de la informacin de carcter personal. 15.1.5 Prevencin del uso indebido de recursos de tratamiento de la informacin. 15.1.6 Regulacin de los controles criptogrficos. 15.2.1 Cumplimiento de las polticas y normas de seguridad. 15.2.2 Comprobacin del cumplimiento tcnico. 15.3.1 Controles de auditora de los sistemas de informacin. 15.3.2 Proteccin de las herramientas de auditora de los sist. de inform.